Sony BMG, die Musiktochter des japanischen Konzerns, erlebte letzte Woche einen Supergau – zu Recht. Der Wirbel um die Kopierschutzsoftware XCP, die Sony BMG in den USA auf Millionen von Musik-CDs installiert hatte, erregte weltweites Aufsehen. Schliesslich musste das Unternehmen nicht nur geloben, XCP nicht mehr zu verwenden, sondern auch eine Rückrufaktion für sämtliche damit bestückten CDs starten.
Wie konnte es dazu kommen? Ende Oktober hatte der Sicherheitsexperte Mark Russinovich die sogenannte DRM-Technik (Digital Rights Management) auf seinem Computer entdeckt, nachdem er eine Sony-CD kopiert hatte. Russinovich merkte schnell, dass es sich dabei um viel mehr als DRM handelte, um ein Spyware-Programm der Rootkit-Sorte nämlich. Diese Art von Software versteckt sich so tief in den Innereien des Betriebssystems, dass sie kaum aufzuspüren ist. Im Fall von XCP fand Russinovitch heraus, dass es auch Informationen an Sony-Server schickte – ein Skandal und beängstigend, wenn man bedenkt, dass es bis zur Entdeckung geschlagene acht Monate gedauert hatte.
Denn üblicherweise setzen Hacker solche Rootkit-Programme ein, um über diese Viren und Trojaner in einen PC einzuschleusen und die Kontrolle über das Gerät zu übernehmen. Dass ein Weltkonzern wie Sony BMG unter dem Vorwand, DRM zu betreiben, eine derart aufsässige und gefährliche Software einsetzte, löste nicht nur bei Experten, sondern auch bei den Anwendern Entsetzen aus. Damit nicht genug, erwies sich zudem der Patch für das Entfernen von XCP, den Sony BMG eilig nachreichte, als fehlerhaft und sicherheitsgefährdend. Herausgefunden hat dies ausgerechnet der bekannte Princeton-Informatikprofessor Ed Felten, der 2000 – im Rahmen eines Wettbewerbs wohlverstanden – die Wasserzeichen-Schutztechnik der Secure Digital Music Initiative (SDMI) geknackt hatte. Daraufhin bekam er massive rechtliche Schwierigkeiten mit der SDMI.
